SECRET_KEY 必须配置,否则 session 读写会抛出 RuntimeError;它用于加密 cookie,需从环境变量读取随机字符串,且 session 值须为 JSON 安全类型、嵌套修改需重新赋值。
SECRET_KEY 必须配置,否则 session 会直接报错
Flask 的 session 默认基于客户端 cookie 实现,所有数据都加密后存进浏览器。没设 SECRET_KEY,Flask 就没法加解密——启动时不会报错,但只要一读写 session,就会抛出 RuntimeError: The session is unavailable because no secret key was set。
常见错误现象:本地开发时忘配,结果 session['user_id'] = 123 看似执行成功,但下一次请求里 session.get('user_id') 返回 None,还查不出原因。
-
SECRET_KEY必须是字符串,且不能是默认的'dev-key'或空字符串(线上环境会被 Flask 拒绝) - 推荐用
os.urandom(24)生成一次性的随机 bytes,再转成 hex 或 base64 存为字符串 - 不要硬编码在代码里,优先从环境变量读:
app.config['SECRET_KEY'] = os.environ.get('SECRET_KEY')
session 是字典接口,但不是普通 dict
session 看起来像字典,支持 session['key'] = value、session.get('key')、del session['key'],但它底层是 SecureCookieSession,有状态跟踪机制:只有发生写操作(赋值/删除),Flask 才会在响应头里写入新 cookie。
使用场景:用户登录后存 ID、角色、临时 token;表单多步提交时暂存中间数据。
- 嵌套结构不被自动序列化:不能直接存
session['data'] = {'a': [1, 2]}后再改session['data']['a'].append(3)——这样改的是内存里的 dict,Flask 不感知,下次请求还是原样 - 正确做法是显式重新赋值:
data = session.get('data', {}); data['a'].append(3); session['data'] = data - 值必须是 JSON 序列化安全的类型(str/int/float/list/dict/None/bool),不能存函数、类实例、数据库连接等
session.permanent = True 不等于“永久”,只是延长过期时间
默认情况下,Flask 的 session cookie 是“会话级”的:浏览器关掉就失效。设 session.permanent = True 后,cookie 会带上 Expires 字段,默认 31 天,但这个行为受 PERMANENT_SESSION_LIFETIME 配置控制。
容易踩的坑:以为设了 permanent 就能跨周记住用户,结果发现第二天就登出了——其实是被反向代理(如 Nginx)或浏览器策略清掉了 cookie,或者服务端时间不准导致签名过期。
- 必须在赋值前设:
session.permanent = True; session['user_id'] = 123,反过来不行 - 修改过期时间:用
app.config['PERMANENT_SESSION_LIFETIME'] = timedelta(hours=2) - 注意:即使 permanent 为 True,如果用户手动清除 cookie,照样登出;它不解决“记住我”逻辑,只是让 cookie 多活一阵子
调试 session 时别只看 Python 代码,要查浏览器 cookie 和响应头
session 问题多数出在客户端和传输层,光盯 session 变量看不出问题。比如明明写了 session['token'] = 'abc',但前端收不到,大概率是 cookie 被拦截或域不匹配。
实操建议:打开浏览器开发者工具 → Application → Cookies,确认是否有 session 这条记录;再看 Network → Response Headers,找 Set-Cookie 字段是否包含 HttpOnly、Secure、SameSite 等限制项。
- 本地开发用
http://localhost:5000时,别设SESSION_COOKIE_SECURE = True,否则浏览器拒绝保存(因为没走 HTTPS) - 前后端分离时,若前端域名是
http://localhost:3000,后端 Flask 域名是http://localhost:5000,默认跨域无法共享 cookie,需同时配SESSION_COOKIE_SAMESITE = 'Lax'(或'None'+SESSION_COOKIE_SECURE = True)和 CORS 支持 - 用
curl -v http://localhost:5000/login测试时,记得加-b和-c参数传/存 cookie,否则看不到真实链路
